Atención al cliente de Facebook habilitado hackear cuenta

El equipo de atención al cliente de Facebook ayudará a alguien a ingresar en su cuenta.

SquidWhale, usuario de Reddit, afirma que alguien pudo cambiar la configuración de la dirección de correo electrónico, la contraseña y la autenticación de dos factores de su cuenta de Facebook simplemente haciéndole pasar por los mensajes al equipo de atención al cliente.

Los mensajes ni siquiera se enviaron desde la dirección de correo electrónico utilizada para la cuenta de Facebook, y el representante de atención al cliente aceptó una identificación errónea después de que le pidieron al pirata informático que probara que la cuenta realmente les pertenecía.

Eso es todo lo que hizo falta para que el hacker tenga acceso a la cuenta. Una vez hecho esto, cambió todos los detalles de inicio de sesión, eliminó varias páginas de Facebook dedicadas al negocio del propietario de la cuenta y envió una foto de dick a la prometida del propietario legítimo.

Todo el asunto tomó cuatro horas de principio a fin. No importaba que el pirata informático no tuviera la dirección de correo electrónico ni la contraseña del propietario de la cuenta. Demonios, ni siquiera importaba que el propietario de la cuenta hubiera activado la autenticación de dos factores.

Todo lo que importaba era el hecho de que el servicio de atención al cliente de Facebook estaba dispuesto a cambiar esta configuración a pesar de todas las señales de advertencia: enviaba un correo electrónico desde la dirección incorrecta, afirmaba no tener un teléfono, proporcionaba la identificación incorrecta, que aparecía.

Todo esto es gracias a una técnica llamada ingeniería social. En lugar de romper la encriptación, robar datos o utilizar técnicas mágicas para obtener acceso a la información de alguien, la ingeniería social solo confía en decir una mentira convincente.

Solo mira este video de Fusión "The Real Future", que representa a una mujer que obtiene acceso a la cuenta de teléfono del editor Kevin Roose con nada más que un video de YouTube de un bebé llorando y algo de actuación dramática:

Facebook no es la única empresa vulnerable a la ingeniería social. A principios de este año, se acusó a Amazon de entregar la información personal de un cliente a alguien que se estaba haciendo pasar por una personificación.

Más recientemente, la cuenta de Twitter del activista de derechos civiles DeRay McKesson fue robada a través de la ingeniería social. El hacker se hizo pasar por McKesson en una llamada a Verizon, cambió la tarjeta SIM asociada con su número y luego usó ese acceso para evitar la autenticación de dos factores en la cuenta de McKesson.

SquidWhale finalmente se le concedió acceso a sus cuentas. La cuenta de Twitter de McKesson le fue devuelta. Pero eso no cambia el hecho de que perdieron el acceso a servicios importantes a pesar de que intentaron defenderse.

Solo hay mucho que la gente pueda hacer para protegerse en línea. Use contraseñas fuertes y únicas. No uses una de estas terribles contraseñas. Configurar la autenticación de dos factores. Evita las conexiones inseguras que podrían permitir que alguien intercepte los datos de inicio de sesión mientras están en tránsito.

El propietario de este negocio hizo todas esas cosas. Sin embargo, mientras los equipos de atención al cliente puedan cambiar cuentas o buscar información confidencial, siempre habrá un vínculo débil en la cerca metafórica que rodea a los datos personales.

Facebook aún no ha respondido a las solicitudes de entrevistas sobre este caso, pero actualizaremos esta historia cuando lo haga.